Que pouvons-nous faire lorsque les décideurs font des erreurs et nuisent réellement aux libertés en ligne et aux libertés démocratiques ? Nous rassembler et unir nos forces à celles d’autres entreprises, groupes ou parties prenantes. Avec cette lettre ouverte concernant l’eEvidence (ou preuve électronique), nous souhaitons nous adresser aux décideurs politiques et leur demander de renforcer la protection de la liberté d’expression et de la vie privée. La situation actuelle n’est pas favorable à la protection des droits fondamentaux, et nous demandons un changement.
Lettre ouverte
Compromis politique sur la proposition e-evidence. Les médias et journalistes européens, les groupes de la société civile et les entreprises technologiques exhortent les décideurs à améliorer la protection des droits fondamentaux.
Chers rapporteurs et rapporteurs fictifs du Parlement européen,
Chers membres du groupe de travail sur la coopération en matière pénale (COPEN),
Nous, une coalition de 24 groupes de la société civile, d’associations de médias et de journalistes, de fournisseurs de services Internet et d’associations professionnelles, vous demandons instamment de réviser le dernier texte de compromis sur la proposition de règlement relatif aux preuves électroniques. Sans améliorations substantielles, le système d’accès transfrontalier aux données en matière pénale prévu par le trilogue politique du 28 juin risque de porter gravement atteinte aux droits fondamentaux, notamment la liberté de la presse et des médias, les droits de la défense, le droit à la vie privée et les droits des patients médicaux. Il n’apporterait pas non plus de sécurité juridique à toutes les parties prenantes impliquées dans le processus.
Nous regrettons que la plupart de nos recommandations précédentes n’aient pas été prises en compte, en particulier :
• Article 7 bis, paragraphe 2 – Notification et critère de résidence.
Le critère de résidence introduit en tant qu’exemption de notification à l’État d’exécution est une faille majeure dans le cadre de protection des droits du règlement e-Evidence. La détermination du lieu de résidence de la personne dont les données sont recherchées sera laissée à la seule discrétion de l’État d’émission, qui peut être clairement incité à éviter la notification. Le seuil est également trop bas et peut facilement faire l’objet d’abus, car les “motifs raisonnables de croire” ne signifient pas nécessairement que l’État d’émission a besoin de preuves objectives ou d’indications concrètes. L’autorité émettrice n’est même pas tenue de justifier ses convictions dans l’ordonnance, ce qui empêche effectivement l’examen de son analyse. Comment le règlement garantira-t-il l’harmonisation des normes permettant de procéder à cette détermination, garantissant ainsi un niveau de protection égal aux personnes concernées ?
Dans le cas où l’État d’émission fait une fausse supposition et omet de notifier l’État d’exécution, on ne voit pas comment l’erreur pourrait être signalée et rectifiée : L’article 9 ne prévoit pas la possibilité pour le prestataire de services de soulever cette question. L’État d’exécution ne peut pas refuser l’exécution de la décision pour cette raison en vertu de l’article 14, paragraphe 4, et la personne ne peut pas nécessairement exercer son droit à un recours effectif si l’information est restreinte ou si cela n’est pas prévu par le droit national de l’État d’émission (article 17, paragraphe 1).
Le critère de résidence affaiblira également la possibilité d’invoquer les motifs de refus prévus à l’article 7 ter, paragraphe 1, point c), et au préambule 11 bis lorsqu’il existe un risque de violation manifeste des droits fondamentaux dans l’État d’émission, comme dans les États membres qui connaissent des problèmes systémiques d’État de droit. Compte tenu des risques que comporte cette exemption qui s’appliquerait aux ordonnances demandant des types de données très sensibles (trafic et contenu) et qui pourrait éventuellement conduire à de graves violations des droits fondamentaux, il est essentiel que le critère de résidence ne fasse pas partie du texte de compromis final.
Article 7 bis – Notification des données relatives aux abonnés et au trafic
Outre la nécessité d’une notification obligatoire pour les données relatives au contenu et les données relatives au trafic, la notification de l’État d’exécution devrait être obligatoire lorsque les données relatives aux abonnés et les données relatives au trafic sont demandées dans le seul but d’identifier la personne. Bien que les données relatives aux abonnés soient, dans l’ensemble, moins sensibles que les données relatives au trafic, il existe des exceptions notables, notamment lorsque des privilèges et immunités sont en jeu (identité d’une source journalistique, d’un informateur, etc.) Dans son projet de décision du Conseil visant à autoriser les États membres à signer et à ratifier le deuxième protocole additionnel à la convention sur la cybercriminalité, la Commission européenne indique clairement que la notification obligatoire pour l’accès aux données des abonnés est nécessaire pour garantir la compatibilité avec le droit de l’Union.
Article 4(1)(b) – Intervention procédurale d’un tribunal pour les données d’abonnés
Nous soutenons la proposition du rapporteur selon laquelle, lorsque l’exécution d’un EPOC pour les données relatives aux abonnés (et le trafic dans le seul but d’identifier l’utilisateur) nécessite l’intervention procédurale d’un tribunal dans un État membre, il devrait être possible d’exiger que l’ordonnance soit également émise par un tribunal dans l’État d’émission. La disposition devrait être renforcée en supprimant l’exigence d’une déclaration du ou des États membres concernés, de sorte que la disposition s’applique uniquement en vertu du droit national exigeant l’intervention procédurale d’une juridiction.
Article 9, paragraphes 2 et 3 – Exécution d’un EPOC et effets suspensifs
La notification de l’autorité de l’État d’exécution est une garantie essentielle pour permettre de soulever d’éventuels motifs de refus et offrir une sécurité juridique au fournisseur de services avant de divulguer les données d’utilisateur demandées. À tout le moins, une notification devrait donc toujours avoir un effet suspensif sur l’obligation de divulgation du prestataire de services dans tous les cas, y compris les demandes d’urgence. Selon la proposition actuelle, lorsqu’une notification a eu lieu, le destinataire doit produire les données à l’issue du délai de 10 jours ou de 8 heures, même en l’absence de validation par l’autorité d’exécution. Les risques sont trop grands que l’autorité d’exécution ne procède pas à un véritable examen des ordres et laisse simplement passer le délai d’attente. Non seulement cela nuit à l’efficacité de cette mesure de protection essentielle, mais c’est également inefficace, car avec une exigence de validation active, les ordres pourraient être exécutés plus rapidement lorsque la validation a été donnée par l’autorité d’exécution avant la fin du délai.
Les effets suspensifs des ordres de fabrication devraient s’appliquer à tous les types d’ordres (urgents ou non) jusqu’à ce que l’autorité d’exécution donne son feu vert de manière proactive.
Article 12b – Principe de spécialité et limitation de la finalité
Les règles permettant de réutiliser les données obtenues par le biais d’une ordonnance de production de preuves électroniques (e-Evidence) dans d’autres procédures ou de les transmettre à un autre État membre sont trop faibles. Le système de notification permet une évaluation au cas par cas des injonctions de produire qui tient compte des circonstances spécifiques de chaque enquête. Permettre à l’autorité d’émission de déterminer seule si les données peuvent être réutilisées dans différentes procédures risque de compromettre l’évaluation de l’injonction par l’État notifié. Même si les conditions de délivrance d’une injonction de produire peuvent être remplies, l’exception au principe de limitation de la finalité devrait être limitée aux circonstances extraordinaires où il existe un risque imminent pour la vie ou l’intégrité physique d’une personne. Il ne devrait pas être possible de transférer les données obtenues vers un autre État membre, car les motifs de refus peuvent différer d’un État membre requérant à l’autre (par exemple, une violation manifeste des droits fondamentaux).
En outre, nous avons identifié plusieurs lacunes qui doivent être traitées ou clarifiées de toute urgence afin de garantir la sécurité juridique :
Article 7b – Motifs de non-reconnaissance ou de non-exécution
Quelles sont les conséquences pour les recours individuels effectifs dans le cas où l’autorité d’exécution a l’obligation de soulever des motifs de refus (emploi de l’expression anglaise “shall”, c’est-à-dire, “devrait”) ? La personne concernée peut-elle porter plainte contre l’autorité d’exécution si cette dernière n’a pas soulevé de motifs de refus ? Laisser à l’autorité d’exécution la possibilité de refuser ou non une ordonnance (emploi de l’expression anglaise “may”, c’est-à-dire, “pourrait”) serait extrêmement préjudiciable à la protection des droits fondamentaux, dans les cas où une ordonnance serait manifestement abusive ou lorsqu’elle violerait la liberté de la presse et des médias, les privilèges professionnels ou les principes du ne bis in idem ou de la double incrimination.
Article 5, paragraphe 5, point g) – Conditions d’émission d’une ordonnance européenne de production en cas d’urgence
La différence entre une injonction d’urgence et une demande de divulgation anticipée est très floue. Une divulgation anticipée mettrait en péril l’efficacité du processus de notification et les motifs de refus. Le risque de divulgation illégale de données doit être évité et la divulgation anticipée doit donc être supprimée du texte.
Article 5, paragraphe 6c – Conditions d’émission d’une décision de production européenne et immunités et privilèges
Le projet d’accord introduit une série de conditions pour la demande de données relatives au trafic et au contenu protégées par un privilège professionnel (médecin détenant des données sensibles sur ses patients, avocat conservant les dossiers de ses clients, etc.), mais il reste à savoir dans quelles situations la condition spécifique “dans les cas où les données sont stockées ou traitées par un prestataire de services dans le cadre d’une infrastructure” s’applique et quels services sont exclus du champ d’application de ce paragraphe. Pour protéger efficacement les immunités et les privilèges, nous pensons que le paragraphe devrait s’appliquer à tous les types de services offerts aux professions protégées et que les trois conditions énumérées devraient être cumulatives et non alternatives (“et” au lieu de “ou”).
Article 9, paragraphe 2b – Exécution d’un EPOC et immunités et privilèges
Pourquoi la possibilité pour le destinataire de refuser d’exécuter un ordre portant atteinte aux immunités ou aux privilèges ou à la liberté de la presse et des médias devrait-elle être “fondée uniquement sur les informations contenues dans l’EPOC” et non sur les informations que le destinataire détient sur la personne concernée ?
Nous attendons avec intérêt de recevoir vos réflexions sur les points que nous soulevons ci-dessus et restons à votre disposition si vous souhaitez en discuter plus avant.
Nous vous prions d’agréer, Madame, Monsieur, l’expression de nos salutations distinguées,
Ensemble, plus forts
Comme nous le répétons souvent, la vie privée est un droit, pas une fonctionnalité. Nos recommandations précédentes n’ont pas été prises en compte, mais nous ne perdons pas espoir. Nous restons forts et espérons un changement pour protéger les droits des citoyens. Soutenez-nous !
Pour plus de détails, visitez notre page presse.